Das heimliche Geschäft mit Daten

Bericht
Das heimliche
Geschäft mit
Daten
Der Markt für gestohlene
digitale Informationen
Inhalt
Dieser Bericht wurde
recherchiert und
geschrieben von:
Einführung
3
Gut sichtbar verborgen
4
Charles McFarland
François Paget
Raj Samani
Finanzdaten
5
Anmeldedaten
10
Zugriff auf Online-Dienste
12
Identitäten
15
Fazit 18
Einführung
Wir erläutern, warum die
Passivität der Opfer von Daten­
kompromittierung und letztlich
die Gleichgültigkeit derjenigen,
deren Daten verkauft werden,
zu erheblichen Kosten führt.
Daten sind der „Treibstoff“ der digitalen Wirtschaft. Das Geschäft mit persönlichen
Daten boomt, wobei große Datenbanken mit Abonnenten­informationen den
geschätzten Wert solcher Unternehmen enorm nach oben treiben, die Inhaber
dieser Daten sind – selbst wenn viele noch keinen Gewinn daraus schlagen. Da der
geschäftliche Wert persönlicher Daten steigt, haben Internetkriminelle schon lange
einen Wirtschaftszweig errichtet, in dem gestohlene Daten an alle Parteien verkauft
werden, die einen Computer-Browser benutzen können und über die nötigen
finanziellen Mittel verfügen.
Im 2013 veröffentlichen McAfee Labs-Bericht Cybercrime Exposed: Cybercrimeas-a-Service (Die verschiedenen Gesichter der Internetkriminalität: Cybercrimeas-a-Service) zeigten wir, dass dank aktueller Tools, Produkte und Services
unabhängig von den technischen Kenntnissen jeder als Internetkrimineller tätig
werden kann. Im darauf aufbauenden Bericht Digitale Geldwäsche: Eine Analyse
der Online-Währungen und Ihre Verwendung in der Internetkriminalität stellten wir
virtuelle Währungen im Detail vor und erläuterten, wie damit gestohlene Daten
zu Geld gemacht werden können. Zum Zeitpunkt der Veröffentlichung dieses
Berichts im Jahr 2013 zeigte die weltweite Aufmerksamkeit für die Maßnahmen
der Strafverfolgungsbehörden gegen Silk Road, dass illegale Produkte ganz einfach
online verfügbar sind. Solche Aktionen verdeutlichen, wie stark sich herkömmliche
Verbrechen mit Unterstützung durch die digitale Welt weiterentwickelt haben.
Die Berichte Cybercrime Exposed (Die verschiedenen Gesichter der Internet­
kriminalität) und Digital Laundry (Digitale Geldwäsche) konzentrierten sich
auf die Hilfsmittel, die für Angriffe genutzt werden. Im vorliegenden Bericht
versuchen wir die Frage zu beantworten, was nach einer erfolgreichen
Kompromittierung geschieht.
Sofort nach der Kompromittierung bei Target beteiligte ich mich an einem Blog,
das den Verkauf gestohlener Kreditkartendaten nachverfolgte und zeigte, dass
der Wert gestohlener Kreditkartendaten ebenso wie in der herkömmlichen
Wirtschaft sank, als riesige Mengen neuer gestohlener Daten auf den Markt
gelangten. Das Beispiel mit Target bildet nur die Spitze des Eisbergs. In diesem
Whitepaper liefern wir mehr Details zu diesem heimlichen Geschäft mit Daten.
– Raj Samani, Intel Security-CTO für Europa, Naher Osten und Afrika
Twitter@Raj_Samani
Twitter@McAfee_Labs
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 3
Gut sichtbar verborgen
Der Titel dieses Berichts impliziert, dass es eine verborgene Tür zu einem
Untergrundmarkt für böswillige Produkte gibt, die für uns Muggel verschlossen
ist. Tatsächlich ist dieser Markt nicht ansatzweise so versteckt wie wir uns
das vorstellen, und wir benötigen ganz sicher keine Vorkenntnisse über ein
Wirtshaus und seinen verborgenen Innenhof. Der Bericht Cybercrime Exposed:
Cybercrime-as-a-Service (Die verschiedenen Gesichter der Internetkriminalität:
Cybercrime-as-a-Service) stellt heraus, wie einfach jedermann mit einem
Browser auf diese Produkte, Tools und Services zugreifen kann. Wir möchten
nicht die Erkenntnisse dieses früheren Berichts wiederholen, da die Welt seit
der Erstellung des Berichts vor zwei Jahren nicht stehen geblieben ist.
Was hat sich also geändert? Dieser Untergrundmarkt bietet inzwischen jedes
erdenkliche Produkt im Bereich Internetkriminalität zum Kauf oder zur Miete
an. Wir sahen korrekt voraus, dass die Zunahme dieses „As-a-Service“-Modells
das Wachstum der Internetkriminalität fördern würde. Im kürzlich erschienenen
McAfee Labs Threat-Report vom Mai 2015 verdeutlichen wir diese Entwicklung
anhand der Zunahme der Ransomware CTB-Locker. Die Entwickler von CTBLocker haben im Rahmen ihrer Geschäftsstrategie ein Partnerprogramm
aufgebaut, wobei die Partner die Botnets zum Versenden von Spam an
potenzielle Opfer nutzen können. Für jede erfolgreiche Infektion, bei der
das Opfer Lösegeld zahlt, erhält der Partner einen Anteil des Geldes.
Das As-a-Service-Geschäft zeigt bei allen Angriffskomponenten (Forschung, Tools
und Infrastruktur für Internetkriminalität) ein starkes Wachstum. Insbesondere
Hacking-as-a-Service trägt erheblich zum Verkauf gestohlener Daten bei.
Wir erläutern, warum die Passivität der Opfer von Datenkompromittierung
und letztlich die Gleichgültigkeit derjenigen, deren Daten verkauft werden,
zu erheblichen Kosten führt.
Als trauriger Nebeneffekt der konstanten Nachrichten über Daten­
kompromittierungen kommt eine gewisse „Datenleck-Müdigkeit“ bzw.
Gleichgültigkeit auf. Im kürzlich erschienenen Artikel I Feel Nothing:
The Home Depot Hack and Data Breach Fatigue (Ich merke nichts: Der Home
Depot-Hack und die Datenleck-Müdigkeit) liefert ein sehr gutes Beispiel für
solche Gleichgültigkeit:
„Da die Banken dafür verantwortlich sind, uns nach einem Missbrauch unserer
Kreditkarten vollständig zu entschädigen, und wir einfach neue Karten
ausgestellt bekommen (was lästig ist, aber unser Leben nicht auf den Kopf
stellt), gehöre ich inzwischen auch zu jenen, die mit einem Schulterzucken
auf Nachrichten über diese Hacks reagieren“, schreibt der Autor.
Obwohl diese Ernüchterung in Anbetracht des steten Stroms an Nachrichten über
Kompromittierungen und Datendiebstahl von mehreren Millionen Datensätzen
nachvollziehbar ist, müssen wir uns bewusst machen, dass diese Daten uns
betreffen. Unsere Informationen werden offen verkauft, und die individuellen
Nachteile werden möglicherweise erst nach einiger Zeit spürbar.
Aus genau diesem Grund veröffentlichen wir diesen Bericht: um gegen diese
Gleichgültigkeit anzukämpfen. Wir möchten keine Angst verbreiten, doch
wir möchten erläutern, warum wir als Gesellschaft über Nachrichten über
Kompromittierungen besorgt sein und Präventivmaßnahmen ergreifen sollten,
um möglichst nicht Opfer zu werden.
Eine Schlussbemerkung: Wir wissen nicht genau, ob alle Beispiele in
diesem Bericht authentisch sind oder in irgendeiner Form mit den Marken
zusammenhängen, die die Verkäufer nennen. Jedoch wird die hervorragende
Reputation dieser allseits bekannten Marken häufig von Dieben missbraucht,
um in diesem Bereich des Online-Betrugs Werbung zu betreiben.
Das heimliche Geschäft mit Daten | 4
Finanzdaten
Der Verkauf von Finanzdaten ist ein relativ breites Thema:
Nicht nur die Bandbreite der zum Verkauf angebotenen
Datentypen ist groß, auch die Marktplätze sind höchst
unterschiedlich. Sie reichen von gut sichtbaren Webseiten,
die über jeden Standard-Browser aufgerufen werden
können, bis zum „Dark Web“, für das andere Zugangs­
methoden erforderlich sind.
Datenkompromittierungen mit Finanzdaten-Diebstahl,
insbesondere von Zahlungskartendaten, beherrschen
die Schlagzeilen. Diese Diebstähle betreffen meist
Einzelhändler und führen unweigerlich dazu, dass die
gestohlenen Daten im sichtbaren Web auftauchen.
Der Preis der auf diesen Marktplätzen erhältlichen
Zahlungskartendaten hängt von zahlreichen Faktoren ab.
Einen allgemeinen Überblick über diese Faktoren finden
Sie in der Tabelle unten.
■■
■■
„Zufallsgeneriert“ bezieht sich darauf, dass eine
zufällige Kartennummer aus einer gehackten
Datenbank ausgewählt wird. Bank und
Kartentyp werden dabei zufällig gewählt.
„Fullzinfo“ bedeutet, dass Verkäufer alle Details
zur Kreditkarte und dessen Inhaber liefert,
d. h. vollständiger Name, Rechnungsadresse,
Zahlungskartennummer, Ablaufdatum, PIN,
Sozialversicherungsnummer, Mädchenname
der Mutter, Geburtsdatum und CVV2.
Hin und wieder werden auch weitere Informationen zum
Verkauf angeboten. Bei Zahlungskartendaten „mit COB“
gehören zusätzlich die Anmeldedaten samt Kennwort dazu.
Mithilfe dieser Anmeldeinformationen kann der Käufer
die Liefer- oder Rechnungsadresse ändern oder eine neue
Adresse hinzufügen.
Einige Verkäufer rücken diese Daten aber auch nach
dem Kauf nicht heraus. Bei wem soll sich der Käufer
schon darüber beschweren, dass er die gestohlenen
Informationen nicht erhalten hat? Wie in der Abbildung
auf der nächsten Seite zu sehen, liefern viele Verkäufer
die gestohlenen Karteninformationen zusammen mit
den zugehörigen Details.
Die hier genannten Kategorien beziehen sich auf die
Informationen, die für die Zahlungskartennummer
verfügbar sind:
■■
■■
„CVV“ ist die in der Branche übliche Abkürzung
für den Sicherheitscode (engl. Card Verification
Value). Dabei bezeichnet CVV1 einen
eindeutigen dreistelligen Wert, der im Magnet­
streifen der Karte gespeichert ist, und CVV2 ist
der dreistellige Wert, der auf der Rückseite der
Karte zu finden ist.
„Software-generiert“ bezeichnet eine gültige
Kombination aus Primary Account Number
(PAN, primäre Kontonummer), einem
Ablaufdatum und einer CVV2-Nummer, die
von einer Software generiert wurde. Tools
zur Generierung gültiger Kreditkartendaten
sind online gegen Geld und auch kostenlos
erhältlich. Da diese Tools einfach gefunden
werden können, haben die generierten
Kombinationen keinen Marktwert.
Zahlungskartendaten
mit CVV2
Zufallsgeneriert
Groß­
britannien
USA
Kanada
Australien
Europäische
Union
5 – 8 $
20 – 25 $
20 – 25 $
21 – 25 $
25 – 30 $
Mit Bank Identification
Number (BIN)
15 $
25 $
25 $
25 $
30 $
Mit Geburtsdatum
15 $
30 $
30 $
30 $
35 $
Mit Fullzinfo
30 $
35 $
40 $
40 $
45 $
Geschätzte Preise pro Karte, in US-Dollar, für gestohlene Zahlungskartendaten (Visa, MasterCard, Amex, Discover).
Quelle: McAfee Labs
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 5
Zahlungskartendaten mit Zusatzinformationen.
Die Käufer haben viele Wahlmöglichkeiten, z. B. die geografische Quelle der
Daten und das verfügbare Guthaben der Karte. Wie in der nachfolgende Tabelle
zu erkennen, beeinflussen beide Faktoren den Preis einer Karte.
Kreditdaten (Dump-Tracks) mit hohem Guthaben
Preis
Track 1 und 2: Bankautomaten-PIN USA
110 $
Track 1 und 2: Bankautomaten-PIN Großbritannien
160 $
Track 1 und 2: Bankautomaten-PIN Kanada
180 $
Track 1 und 2: Bankautomaten-PIN Australien
170 $
Track 1 und 2: Bankautomaten-PIN Europäische Union
190 $
Preise für Kreditdaten (Dump-Tracks) pro Karte.
Quelle: McAfee Labs
Der Begriff Dump bezieht sich auf Informationen, die elektronisch vom Magnet­
streifen auf der Rückseite von Kredit- und Geldkarten kopiert wurden. Auf jedem
Magnetstreifen befinden sich zwei Daten-Spuren (Track 1 und Track 2),
wobei Track 1 alphanumerisch ist und den Namen des Kunden sowie dessen
Kontonummer enthält. Track 2 ist nummerisch und umfasst die Kontonummer,
das Ablaufdatum, den CVV1-Code sowie Daten zum ausstellenden Institut.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 6
Die Listenpreise schwanken je nach Angebot, Guthaben und Gültigkeit.
Einige dieser Faktoren sind in der folgenden Abbildung dargestellt.
Einkaufslisten für Zahlungskarten.
Die vorherige Abbildung zeigt, dass der Käufer viele Wahlmöglichkeiten hat.
Der Verkauf von Zahlungskartendaten ist verbreitet und war bereits Gegenstand
verschiedener McAfee-Blogs. Solche Zahlungskartendaten sind jedoch nicht
der Finanzdatentyp, der typischerweise gestohlen und anschließend auf dem
offenen Markt angeboten wird. Ähnlich wie Geldkarten werden Konten von
Online-Bezahldiensten auf dem offenen Markt verkauft, wobei der Preis von
weiteren Faktoren abhängt. Diese Faktoren sind jedoch erheblich begrenzter
als bei Zahlungskarten: Wie in der nachfolgenden Tabelle zu sehen, bestimmt
hier ausschließlich das Guthaben den Preis.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 7
Kontoguthaben beim OnlineBezahldienst
Geschätzter Preis pro Konto
400 – 1.000 $
20 – 50 $
1.000 – 2.500 $
50 – 120 $
2.500 – 5.000 $
120 – 200 $
5.000 – 8.000 $
200 – 300 $
Zum Verkauf angebotene Konten von Online-Bezahldiensten.
Quelle: McAfee Labs
Bei den in dieser Tabelle genannten Preisen handelt es sich um Schätzwerte.
Wir haben zahlreiche Beispiele gefunden, bei denen die Verkaufspreise
außerhalb dieser Preisspannen liegen.
Alles wird zum Verkauf angeboten. In den nachfolgenden Abbildungen werden
Bank-an-Bank-Überweisungen und Online-Banking-Anmeldeinformationen zum
Verkauf angeboten.
Beispiel für zum Verkauf angebotene Bank-Anmeldeinformationen.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 8
Beispiel für zum Verkauf angebotene Bank-Anmeldedaten.
Zweifel über die Gültigkeit der angebotenen Produkte werden stets bleiben,
da viele, die für gestohlene Finanzdaten Geld bezahlt haben, nicht das erhalten,
was sie erwartet hatten. Ein Verkäufer bezieht sich in seiner einleitenden
Werbung wie folgt auf die fehlende Ehre unter Dieben:
“ARE YOU FED UP OF BEING SCAMMED, AND RIPPED?
ARE YOU TIRED OF SCAMMERS WASTING YOUR TIME, ONLY TO STEAL
YOUR HARD-EARNED MONEY?”
Dieser Verkäufer bietet zwar keine kostenlosen Kreditkartendaten, die potenzielle
Käufer als Test erhalten können, dafür jedoch eine Austauschrichtlinie für
Karten an, die nicht über das beworbene Guthaben verfügen. Andere Verkäufer
unterstreichen ihre Ehrlichkeit, indem sie auf soziale Validierung, d. h. auf positives
Feedback anderer Käufer, setzen. Foren sind voll hilfreicher Hinweise von Käufern,
die erfolgreiche Käufe abgeschlossen haben, sowie Tipps dazu, welche Verkäufer
gemieden werden sollten.
“Hey man, don’t know if you know this, but
pulled a exit scam
on evo?
as far as i know, he pulled an exit scam, then he came back saying his
friends had screwed him over, asked people to pay like 4BTC to join
his official priviate reselling club. he then just disspeared again.
in fact theres a guy called Underwebfullz (or somthing like that) whos
doing the same thing on alpahbay, so people think its him”
Einige Verkäufer ergreifen aufwändige Verkaufs- und Marketingmaßnahmen,
indem sie ihre Produkte über YouTube bei potenziellen Kunden bewerben.
Diese Videos versuchen häufig, zukünftigen Käufern eine visuelle Bestätigung
ihrer eigenen Vertrauenswürdigkeit zu liefern. Diese Ansätze können durch
die Kommentare zu den Videos jedoch auch nach hinten losgehen.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 9
Anmeldedaten
Neben Finanzdaten werden auch Zugangsdaten zu Systemen in vertrauens­
würdigen Unternehmensnetzwerken zum Verkauf angeboten. Die Zugangstypen
können hierbei von sehr einfachem Direktzugriff (z. B. in Form von Anmelde­
informationen) bis zu solchen Zugangsmöglichkeiten reichen, für die eine gewisse
technische Kompetenz erforderlich ist (z. B. bei Schwachstellen). In der folgenden
Abbildung werden Schwachstellen angeboten, mit denen potenzielle Käufer auf
Bank- und Flugliniensysteme in Europa, Asien und in den USA zugreifen können.
Beispiel für zum Verkauf angebotene Zugangsdaten zu Bank- und Flugliniensystemen.
Ebenso wie beim Verkauf von Finanzdaten versuchen die Verkäufer gegenüber
potenziellen Käufern einen gewissen Nachweis dafür zu liefern, dass ihre
Angebote echt sind.
Kürzlich vom Internetkriminalitätsexperten Idan Aharoni durchgeführte
Untersuchungen deuten darauf hin, dass Internetkriminelle jetzt auch Zugangs­
möglichkeiten zu kritischen Infrastruktursystemen verkaufen. In seinem
Artikel SCADA Systems Offered for Sale in the Underground Economy
(Auf dem Untergrundmarkt zum Verkauf angebotene SCADA-Systeme) nennt
Aharoni ein Beispiel, in dem ein Verkäufer einen Screenshot zeigt, der scheinbar
die Benutzeroberfläche eines französischen hydroelektrischen Generators zeigt.
Damit will der Verkäufer beweisen, dass er Zugriff auf dieses System hatte.
Das heimliche Geschäft mit Daten | 10
Ein Verkäufer behauptet, dass dies ein Screenshot der Benutzeroberfläche eines
französischen hydroelektrischen Generators sei. Der Screenshot soll beweisen,
dass der Verkäufer Zugriff auf ein SCADA-System einer kritischen Infrastruktur hatte.
Ebenso wie im vorherigen Beispiel bleibt beim Käufer die Frage, ob der
angebotene Zugriff tatsächlich gültig ist. Es ist nicht besonders schwierig,
einen Screenshot herzustellen und damit den erfolgten Zugriff zu implizieren.
Dennoch weist Aharoni darauf hin, dass diese Meldung einen sehr besorgnis­
erregenden Trend verdeutlicht.
Gestohlene Unternehmensdaten werden ebenfalls zum Verkauf angeboten.
In der nachfolgenden Abbildung bietet ein Verkäufer Daten an, die aus einer
Universität gestohlen worden.
Beispiel für zum Verkauf angebotene gestohlene Informationen aus einer Universität.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 11
Zugriff auf Online-Dienste
Viele Internetnutzer abonnieren digitale Dienste wie Musik- und Videodienste
oder Treueprogramme usw. Da diese Konten relativ preiswert sind, könnte
man meinen, dass die daraus gezogenen Informationen nicht ausreichende
Gewinne einbringen. Trotz dieser wirtschaftlichen Überlegungen sind solche
Konten auf mehreren Marktplätzen weit verbreitet, was auf eine Nachfrage
unter potenziellen Kunden hinweist.
Wenn Daten gestohlener Online-Konten kompromittiert werden, kann der legitime
Inhaber auf verschiedene Weise geschädigt werden. Zum einen kann das Konto
aufgrund böswilliger Aktivitäten des Käufers gesperrt oder geschlossen werden,
was in einigen Fällen wochenlange Support-Anrufe nach sich zieht. Zum anderen
kann das Opfer auch finanzielle Verluste erleiden, wenn mit gespeicherten
Kredit­kartendaten Käufe getätigt werden oder der Zugang zu kostenlosen
Vergünstigungen wie Treuepunkten verloren geht, die im Laufe der Kontonutzung
angesammelt wurden. Es gibt jedoch auch noch beunruhigendere Beispiele.
In der folgenden Abbildung werden Konten für einen Online-Dienst zum
Verkauf angeboten.
Beispiel für Konten eines Online-Video-Streaming-Dienstes, die zum Verkauf
angeboten werden.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 12
Sind Online-Video-Streaming-Nutzer die einzigen Opfer? Wohl kaum. Die traurige
Realität zeigt, dass Zugangsdaten für praktisch jeden erdenklichen Online-Dienst
angeboten werden. Wir fanden ein Angebot für ein Konto eines anderen OnlineVideo-Streaming-Dienstes über 0,55 US-Dollar. Wenn einzelne Konten für digitale
Dienste für weniger als einen Dollar angeboten werden, müssen die Kriminellen
sehr viele Online-Konten verkaufen, um den Aufwand zu rechtfertigen.
Konten anderer Online-Video-Streaming-Dienste werden für weniger als
1 US‑Dollar verkauft.
Dienste für viele verschiedene Online-Streaming-Unterhaltungsmedien werden
häufig angeboten. So fanden wir HBO NOW- und HBO GO-Konten für weniger
als 10 US-Dollar sowie andere TV-Streaming-Dienste. Video-Streaming-Dienste
werden ganz offensichtlich stark nachgefragt. Selbst Streaming-Dienste für
Premium-Sportübertragungen können für 15 US-Dollar gekauft werden. Wir
fanden zudem andere zum Verkauf angebotene Online-Konten, einschließlich
Lebenszeit-Abonnements zu Premium-Pornografie-Konten sowie kostenlose
Referenz-Links zum Dark Web-Markt Agora.
Beispiel für zum Verkauf angebotene Zugangsdaten zu HBO GO.
Diesen Bericht teilen
Internetdiebe verkaufen Marvel Unlimited-Konten für billigen Zugang zu digitalen Comics.
Das heimliche Geschäft mit Daten | 13
Selbst kostenlose Online-Konten sind für Kriminelle attraktiv. In der folgenden
Abbildung wird ein Hotel-Treuekonto mit 100.000 Punkten für 20 US-Dollar zum
Kauf angeboten. Kunden eröffnen diese Konten kostenlos. Dennoch gibt es einen
Markt dafür, durch den die Kunden Treuepunkte verlieren können, die teilweise
im Laufe mehrerer Jahre angesammelt wurden.
Selbst Konten zu Hotel-Treueprogrammen werden zum Verkauf angeboten.
Eine Motivation für den Kauf der Zugangsdaten zu gestohlenen Online-Konten
besteht darin, die Reputation des Käufers zu verschleiern – entweder aufgrund
schlechter Geschäftspraktiken oder einfach zu Betrugszwecken. Ein etabliertes
Konto mit einer guten Historie kann sehr viel kosten, doch für einen Käufer, der
eine neue Geschäftsidentität bei einer Online-Auktions-Community erwerben
möchte, kann sich das dennoch lohnen.
Ein zum Verkauf angebotenes Konto eines Online-Auktionsdienstes.
Für weniger hohe Ansprüche werden Online-Auktions-Konten für verschiedene
Kontotypen in Paketen zu je 100 Stück angeboten.
Eine Verkaufsquelle für Kreditkartendaten, die auch Zugang zu Online-AuktionsKonten anbietet.
Das heimliche Geschäft mit Daten | 14
Identitäten
Der Verkauf der Identität eines Opfers ist die Kategorie mit dem größten Angst­
faktor, weil es hier sehr persönlich wird.
Intel Security arbeitete kürzlich mit Strafverfolgungsbehörden in Europa
zusammen, um das Beebone-Botnet auszuschalten. Dieses Botnet war in
der Lage, Schadsoftware auf die Systeme der nichtsahnenden Benutzer
herunterzuladen. Zu den Schadsoftware-Varianten gehörten Banking-Kennwort­
diebe der ZBot-Familie, Rootkits der Necurs- und ZeroAccess-Familien,
Cutwail-Spambots, gefälschte Virenschutzprogramme sowie Ransomware.
Wir sind erschrocken darüber, wie wenig Gegenmaßnahmen von Benutzern
unternommen werden, insbesondere bei Benutzern außerhalb der USA und
Europas. Das Blog von Raj Samani zu diesem Thema stellte heraus, dass ein
gewaltiger Teil der Gesellschaft ihre Daten nicht angemessen schützt, was häufig
schwerwiegende Konsequenzen nach sich zieht.
In der nachfolgenden Abbildung sehen Sie ein Beispiel für die digitale Identität
einer Person, die durch Internetdiebe gestohlen wurde. Ein Käufer könnte die
Kontrolle über das digitale Leben dieser Person übernehmen, einschließlich
sozialen Medien, E-Mail und vieles mehr. (Wir haben diese Informationen an
die Strafverfolgungsbehörden in Großbritannien weitergegeben.)
Beispiel für eine Identität, die zum Verkauf angeboten wird.
Das obige Beispiel enthält zahlreiche Informationen, zwingt den Käufer jedoch,
eine Menge Text zu verarbeiten. Einige Verkäufer bieten hingegen eine
übersichtlichere Benutzeroberfläche, die für potenzielle Käufer attraktiver wirkt.
Im nachfolgenden Beispiel können Käufer Einzelpersonen nach deren E-MailKonten wählen – der erste Schritt zur Kontrolle anderer Bereiche im Leben
des Opfers.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 15
Bei diesem Server können Käufer auf einfache Weise ein Profil auswählen.
Der Markt für gestohlene Identitäten hängt eng mit dem Markt für gestohlene
medizinische Daten zusammen. Diese Daten können nicht so einfach wie
Zahlungskarten­daten gekauft werden, doch die Verkäufer für medizinische
Daten sind im Internet durchaus aktiv. Der Sicherheitsjournalist Brian Krebs
befasste sich in seinem Artikel A Day in the Life of a Stolen Healthcare
Record (Ein Tag im Leben eines gestohlenen medizinischen Datensatzes)
mit diesem Thema. In seinem Beispiel wurde eine große Textdatei, die Name,
Adresse, Sozialversicherungs­nummer und andere sensible Informationen
zu dutzenden Ärzten in den USA enthielt, von einem Betrüger geleakt
(siehe nachfolgende Abbildung).
Diesen Bericht teilen
Beispiel für Informationen, die einem medizinischen Dienst gestohlen und anschließend
zum Verkauf angeboten wurden.
Quelle: Krebs on Security
Das heimliche Geschäft mit Daten | 16
Obwohl sich der größte Teil dieses Berichts mit dem Verkauf gestohlener Daten
befasst, werden diese gestohlenen Daten in einigen Fällen auch kostenlos
weitergegeben. In der nachfolgenden Abbildung veröffentlichte das HackerKollektiv Rex Mundi identifizierbare Patientendaten, weil das Unternehmen
Labio das Lösegeld in Höhe von 20.000 Euro nicht gezahlt hatte.
Hacker veröffentlichten private Kundeninformationen, um ein medizinisches Labor dafür
zu bestrafen, dass es das geforderte Lösegeld nicht gezahlt hatte.
Diesen Bericht teilen
Das heimliche Geschäft mit Daten | 17
Fazit
Die in diesem Bericht vorgestellten Beispiele für das heimliche Geschäft mit
Daten stellen nur die Spitze eines Eisbergs dar. Viele weitere Kategorien und
Dienste blieben unerwähnt, doch wir hoffen, dass wir mit diesen Beispielen
die Größe der Gefahr deutlich machen konnten. In diesem Bericht ging es um
gestohlene Daten, die zum Verkauf angeboten werden. Internetkriminelle kaufen
auch Produkte, die Angriffe ermöglichen. Dazu gehören der Kauf sowie die
Anmietung von Exploits und Exploit-Kits, die die enorme Zahl der weltweiten
Infektionen in die Höhe treiben. Es ist nicht möglich, alle verfügbaren Angebote
vorzustellen, da deren Zahl unaufhaltsam wächst.
Wenn wir über Datenkompromittierungen lesen, mögen wir das Gefühl haben,
dass sich die internetkriminelle Branche weitab unseres täglichen Lebens
bewegt, sodass wir versucht sind, die Nachricht zu ignorieren. Internetkriminalität
ist jedoch lediglich eine Weiterentwicklung herkömmlicher Kriminalität.
Wir müssen unsere Gleichgültigkeit überwinden und Hinweise dazu beachten,
wie sich Schadsoftware und andere Bedrohungen abwehren lassen. Wenn wir
dies nicht tun, könnten die Daten unseres digitalen Lebens für jeden mit einer
Internetverbindung zum Verkauf angeboten werden.
Das heimliche Geschäft mit Daten | 18
Über McAfee Labs
McAfee Labs folgen
McAfee Labs ist eine der weltweit führenden Quellen für Bedrohungsforschung
sowie -daten und ein Vordenker bei Internetsicherheit. Dank der Daten von
Millionen Sensoren für alle wichtigen Bedrohungsvektoren (Dateien, Web,
Nachrichten und Netzwerke) bietet McAfee Labs Echtzeit-Bedrohungsdaten,
wichtige Analysen und Expertenwissen für besseren Schutz und
Risikominimierung.
www.mcafee.com/de/mcafee-labs.aspx
Über Intel Security
McAfee ist jetzt ein Geschäftsbereich von Intel Security. Durch die Security
Connected-Strategie, einen innovativen Ansatz für Hardware-unterstützte
Sicherheitslösungen sowie das Global Threat Intelligence-Netzwerk ist Intel
Security voll und ganz darauf konzentriert, für die Sicherheit seiner Kunden zu
sorgen. Dazu liefert Intel Security präventive, bewährte Lösungen und Dienste,
mit denen Systeme, Netzwerke und Mobilgeräte von Privatanwendern und
Unternehmen weltweit geschützt werden können. Intel Security verknüpft die
Erfahrung und Fachkompetenz von McAfee mit der Innovation und bewährten
Leistung von Intel, damit Sicherheit als essentieller Bestandteil jeder Architektur
und Computerplattform eingebettet wird. Intel Security hat sich zum Ziel gesetzt,
allen – Privatpersonen ebenso wie Unternehmen – die Möglichkeit zu geben,
die digitale Welt absolut sicher nutzen zu können.
www.intelsecurity.com
McAfee. Part of Intel Security.
Ohmstr. 1
85716 Unterschleißheim
Deutschland
+49 (0)89 37 07-0
www.intelsecurity.com
Die in diesem Dokument enthaltenen Informationen werden McAfee-Kunden ausschließlich für Fort- und Weiter­bildungs­
zwecke bereitgestellt. Die hier enthaltenen Informationen können sich jederzeit ohne vorherige Ankündigung ändern und
werden wie besehen zur Verfügung gestellt, ohne Garantie oder Gewährleistung auf die Richtigkeit oder Anwendbarkeit
der Informationen zu einem bestimmten Zweck oder für eine bestimmte Situation.
Intel und die Intel- und McAfee-Logos sind Marken der Intel Corporation oder von McAfee, Inc. in den USA und/oder
anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright © 2015 McAfee, Inc.
62122rpt_hidden-data_1215